“Microsoft estime que Secret Blizzard a utilisé le malware Amadey en tant que service (MaaS) ou a accédé subrepticement aux panneaux de commande et de contrôle (C2) d'Amadey pour télécharger un compte-gouttes PowerShell sur les appareils cibles”, a déclaré Microsoft. “Le compte-gouttes PowerShell contenait une charge utile Amadey codée en Base64 ajoutée par un code qui invoquait une requête à l'infrastructure Secret Blizzard C2.”
L’objectif ultime était d’installer Tavdig, un Secret Blizzard à porte dérobée utilisé pour effectuer des reconnaissances sur des cibles d’intérêt. L'exemple Amdey de Microsoft a découvert des informations collectées dans les presse-papiers des appareils et des mots de passe récupérés dans les navigateurs. Il installerait ensuite un outil de reconnaissance personnalisé qui serait « déployé de manière sélective sur des appareils présentant un intérêt plus important par l’acteur menaçant – par exemple, les appareils sortant des adresses IP STARLINK, une signature commune des appareils militaires ukrainiens de première ligne ».
Lorsque Secret Blizzard estimait qu'une cible avait une grande valeur, il installait alors Tavdig pour collecter des informations, notamment « les informations utilisateur, netstat et les correctifs installés, et pour importer les paramètres du registre dans l'appareil compromis ».
Plus tôt dans l'année, a déclaré Microsoft, les enquêteurs de la société ont observé Secret Blizzard utiliser des outils appartenant à Storm-1887 pour cibler également le personnel militaire ukrainien. Les chercheurs de Microsoft ont écrit :
En janvier 2024, Microsoft a observé un appareil militaire en Ukraine compromis par une porte dérobée Storm-1837 configurée pour utiliser l'API Telegram pour lancer une applet de commande avec des informations d'identification (fournies en tant que paramètres) pour un compte sur la plateforme de partage de fichiers Mega. L'applet de commande semble avoir facilité les connexions à distance au compte chez Mega et a probablement invoqué le téléchargement de commandes ou de fichiers à lancer sur l'appareil cible. Lors du lancement de la porte dérobée PowerShell Storm-1837, Microsoft a remarqué qu'un compte-gouttes PowerShell était déployé sur l'appareil. Le compte-gouttes était très similaire à celui observé lors de l'utilisation des robots Amadey et contenait deux fichiers codés en base64 contenant la charge utile de la porte dérobée Tavdig précédemment référencée (rastls.dll) et le binaire Symantec (kavp.exe).
Comme pour la chaîne d'attaque du robot Amadey, Secret Blizzard a utilisé la porte dérobée Tavdig chargée dans kavp.exe pour effectuer une reconnaissance initiale sur l'appareil. Secret Blizzard a ensuite utilisé Tavdig pour importer un fichier de registre, qui a été utilisé pour installer et assurer la persistance de la porte dérobée KazuarV2, dont le lancement a ensuite été observé sur l'appareil concerné.
Bien que Microsoft n'ait pas observé directement la porte dérobée Storm-1837 PowerShell téléchargeant le chargeur Tavdig, sur la base de la proximité temporelle entre l'exécution de la porte dérobée Storm-1837 et l'observation du dropper PowerShell, Microsoft estime qu'il est probable que le Storm-1837 la porte dérobée a été utilisée par Secret Blizzard pour déployer le chargeur Tavdig.
Le post de mercredi arrive une semaine après les deux Microsoft et Lumen Laboratoires du Lotus Noir a rapporté que Secret Blizzard avait coopté les outils d'un groupe menaçant basé au Pakistan et suivi sous le nom de Storm-0156 pour installer des portes dérobées et collecter des informations sur des cibles en Asie du Sud. Microsoft a observé cette activité pour la première fois fin 2022. Au total, a déclaré Microsoft, Secret Blizzard a utilisé les outils et l'infrastructure d'au moins six autres groupes malveillants au cours des sept dernières années.